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Аналіз інформації у комп'ютерній мережі 
за допомогою системи «ІлпвуОЗпІнег» 


В статті розглядаються принципи побудови системи аналізу інформації у комп'ютерній мережі із 
застосуванням лінгвістичного модуля, яка може вирішувати актуальне питання контролю мережі як 
засобу передачі та обміну даними між користувачами та доступу до певної інформації. 


Вступ 


З розвитком комп'ютерних мереж все більш актуальним постає питання контролю 
мережі як засобу передачі та обміну даними між її користувачами. Це обумовлено 
необхідністю підтримання характеристик мережі на рівні, необхідному для забезпечення 
її дієздатності та виконання поставлених перед нею завдань в умовах сучасних політик 
безпеки в підприємницьких чи навіть шкільних мережах. 

В статті розглядається система «ІЛпруоЗ5піНег», що призначена для аналізу та 
фільтрації мережних даних з метою подолання проблеми обміну інформацією, пов'яза- 
ною з недозволеним вмістом даних, що передаються. Тобто заборона передачі та прийому 
інформації, яка може містити деяку конфіденційну інформацію або заборонену для 
цільової аудиторії (наприклад, «доросла інформація», до якої можуть мати доступ 
неповнолітні). 

З поширенням сфери використання комп'ютерних мереж перед користувачами та 
адміністраторами постають завдання, що можуть бути вирішені тільки за допомогою 
спеціалізованого програмного забезпечення | |, 21. 

Серед таких завдань: 

- аналіз інформації, якою обмінюються користувачі мережі, з метою збору ста- 
тистичних даних; 

- розподіл доступу до мережних ресурсів користувачам різних категорій та інші. 

Існує окремий клас програмного забезпечення, що дозволяє вирішувати поставлені 
завдання. Це - аналізатори мережних пакетів, або сніфери та мережні фільтри (фаєр- 
воли). 

Метою даної статті є показати принципи побудови подібних систем захисту і 
контролю комп'ютерних мереж. 


Побудова системи «ІлпеуОЗпіНег» 


Програмний пакет аналізу та захисту мережі складається з модулів, що дозво- 
ляють вирішувати окремі класи задач: 
- сніфер - для збору та відображення мережного трафіка з метою подальшого 
аналізу; 
- фаєрвол - фільтрація мережних пакетів за заданими правилами; 
-лінгвістичний модуль - реалізує додаткові можливості роботи з лінгвістичною 
інформацією. 
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Система прослуховування мережного трафіка структурно повинна складатись 
як мінімум з двох частин: 
- програмного драйвера, який забезпечує ефективну роботу з мережним адаптером 
комп'ютера на низькому апаратному рівні; 
- клієнтської частини, яка забезпечує отримання даних від драйвера, декодування їх, 
відображення у потрібному форматі та діалог з користувачем системи. 

Розглянемо докладніше методики побудови та принципи роботи кожного модуля. 


Модуль сніфера 


Сніфер - це програма, що дозволяє перехоплювати мережний трафік. Коли го- 
ворять про сніфери, то звичайно проводять аналогію з прослуховуванням телефонних 
розмов. Підключившись до телефонної мережі, можна перехопити спілкування людей. 
Приблизно так у комп'ютерних мережах можна перехоплювати інформацію, якою обмі- 
нюються комп'ютери. Прослуховування можливе завдяки особливості архітектури мереж- 
ної технології Еірегпеї. Архітектура більшості локальних мереж заснована на технології 
Ефегпеї (еіфег - ефір, пебмогк - мережа), у якій усі пристрої підключені до одного 
середовища передачі даних і спільно Його використовують. Використовуючи цю 
особливість Ефегпеї, відпадає необхідність несанкціонованого підключення до сегмента 
мережі - комп'ютер, з якого передбачається прослуховування, вже підключений до 
деякого сегмента мережі. 

Сніфер може аналізувати тільки те, що проходить через його мережну карту. 
Всередині одного сегмента мережі Ефегпеї усі пакети розсилаються всім машинам, через 
це можливе перехоплення чужої інформації. Використання комутаторів (ям'їсі, Пиб) та 
їхня грамотна конфігурація вже є захистом від прослуховування. 

Між сегментами інформація передається через комутатори. Комутація пакетів - 
форма передачі, при якій дані, розбиті на окремі пакети, можуть пересилатися з вихідного 
пункту в пункт призначення різними маршрутами. Так, якщо хтось в іншому сегменті 
посилає внутрішні пакети, то у ваш сегмент комутатор ці дані не відправить. 

Програми, що прослуховують, чи пакетні аналізатори відносяться до класу утиліт 
подвійного призначення. З одного боку, сніфери - могутня зброя, за допомогою якої 
можна здійснити пасивну мережну атаку. Ці програми можуть являти собою серйозну 
загрозу, оскільки можуть перехоплювати і розшифровувати імена і паролі користувачів, 
конфіденційну інформацію, порушувати роботу окремих комп'ютерів і мережі в цілому. 
Відомо, що в більшості протоколів передачі даних (ЕТР, РОР, НТТР та ін.) (3, (41) секретна 
інформація між клієнтом і сервером передається відкритим текстом. Тому зловмиснику 
не складає великої праці одержати доступ до чужої інформації. З іншого боку, сніфери 
допомагають системним адміністраторам здійснювати діагностику мережі і відслідкову- 
вати атаки комп'ютерних злочинців. Крім того, вони служать для перевірки 1 детального 
аналізу правильності конфігурації мережного програмного забезпечення. 

Інформація передається по мережі, і одержує її кожен пристрій цієї мережі. За 
замовчуванням мережна плата комп'ютера бачить тільки те, що призначено саме для неї. 
Однак програми, що прослуховують, встановлюють її в режим прийому всіх пакетів - 
ргопізсиод5 плоде. В основі багатьох сніферів були і є мережні драйвери 1 бібліотеки 
(ЦЬрсар, НЬпег). Для переключення мережної плати в ргоплієсиоця плоде потрібно низько- 
рівневе програмування її портів. У багатозадачній ОС таку роботу можуть виконати тіль- 
ки драйвери рівня ядра системи (Кегпе-тоде дгімег8). Перші програми такого типу були 
створені для операційних систем (Лиїх. 
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Незабаром сніфери були реалізовані і в популярній ОС У/іпдомуз, але їхня робота в 
цій системі також вимагала мережного драйвера, що переключав мережну плату (МІС -- 
пебмогк шіегіасе сага) у спеціальний режим |31. 

У системі, що розглядається, програмна реалізація заснована на використанні бібліо- 
теки уміпрсар (6) - аналога Нбрсар |7, але орієнтованої для роботи з платформою ууіп32. 

Інформація в мережі передається у вигляді пакетів даних спеціального формату -- 
фреймів (або кадрів). Для того щоб мати можливість правильно аналізувати перехоплені 
дані, потрібно мати грунтовні знання про будову мережних пакетів різного призначення. 


Модуль фаєрволу 


Якщо сніфер призначено переважно для збору та аналізу мережної інформації, 
то призначення такого класу програм як фаєрволи полягає в іншому. 

Фаєрвол (від англ. Рігемаї - вогняна стіна) - це один з програмно-апаратних 
методів захисту від мережних атак. 

Взагалі до програмно-апаратних засобів захисту мережі відносять: 

- апаратні шифратори мережного трафіка; 

- захищені мережні протоколи; 

- програмно-апаратні аналізатори мережного трафіка; 
- захищені мережні ОС. 

Модуль фаєрволу, що реалізовано, має можливість керування та налаштування 
за допомогою команд, які може викликати зовнішня програма. 

Фільтрація мережного трафіка є основною функцією систем Бігемаї! та дозволяє 
адміністратору безпеки комп'ютерної мережі централізовано проводити необхідну 
мережну політику безпеки у виділеному сегменті ІР-мережі. Тобто, налаштувавши 
фаєрвол необхідним чином, можна дозволити або заборонити користувачам як дос- 
туп з зовнішньої мережі до відповідних служб хостів, або до хостів, що знаходяться 
в захищеному сегменті, так і доступ користувачам з внутрішньої мережі до відповід- 
них ресурсів зовнішньої мережі (ІР-адреси). 


Лінгвістичний модуль 


Основною задачею системи є збір лінгвістичної статистики. Система аналізує вміст 
мережних пакетів на наявність ключових слів та збирає статистику кількості цих слів, які 
пройшли по вказаному каналу. Реалізовано додаткову можливість генерування списку 
слів, які близькі до еталонного слова. Цей список слів шукається у базі знань У/огаМеї |8 |. 
Близькість визначається семантичними зв'язками слів. Найчастіше у список потрапляють 
синоніми та близькі за тематикою слова.В реальних текстових даних важко слідкувати за 
появою конкретних слів, маючи лише початкову форму слова. Для розв'язання цієї 
проблеми створено функцію, яка користується словниковими базами системи. Система за 
словом може відшукати всі можливі форми слова (парадигми слова). Ці функції надає 
бібліотека лінгвістичних функцій У/огаМей Л.Л, що використовує реалізацію українсь- 
кого та російського М/огаМеї, яка розроблена на кафедрі математичної інформатики, 
факультету кібернетики Київського національного університету імені Тараса Шевченка. 


Робота з системою «ІЛпбуоУпійег» 


Об'єднує операції, які керують функціями перехоплення мережних пакетів 
(рис. 1) та збору лінгвістичної статистики (рис. 2). 
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І іпсуо0 5пійег - ОЇ х) 
Файп Вигляд ТСР Лінгвістика Робота (Фільтр Допомога 
ТЕР дані | Лінгвістика | 


18:48:15:342805 | 10.45.70.222 31.202.128.125 РОВТ 10,45,70,222Л91 371 
18:48:15:343415 | 91.202.128.125 10.45.70.222 2 2154 23 200 РОВТ согтапа зиссеззі... 
18:48:15:355493 | 10.45.70.222 91.202.128.125 2154 21 10 ЦІЗТ Чаї 

18:48:15:358552 | 91.202128.125 10.45.70.222 21 2154 54 150 Орепіпа АЗСІЇ годе Чака ... 
18:48:15:359545 | 91.202.128.125 10,.45.70.222 20 5001 185 Фпмхоммх 2Аро Ар 51... 
18:48:15:454882 | 91.202128.125 10.45.70.222 21 2154 23 22Б Тгапзівг согпріенейї Й 
7170 | 1045.70222 91.202.128.79 2009 5222 1 | 

і 10.45.70.222 10.45 542 2010 БББ/ 2ї РІМО Агзепаї ігс.Позіеі БІ 
18:48:40:527292 | 10.45.54.2 10.45.70.222 ББ57 20 42 їігс.Позівії Б РОМО іго.Позівії 6... 
18:48:42215719 |  91.202.128.79 10.45.70.222 5222 2003 330 «ріезепсе Їгогле'багііаббег. К... 
18:48:53:79958 10.45.70.222 91.202.128.125 2154 21 2 РОВТ 10,45,70,222Л9 38/Ї 

18:48:53:80554 91.202.128.125 10.45.70.222 21 2154 23 200 РОВТ согтапа зиссеззі... 
18:48:53:85937 10.45.70.222 31.202.128.126 2154 21 34 ЦІЗТ а Ліпсотіпалагземаї. 1 АхНІЇ 
18:48:53:88580 91.202.128.126 10.45.70.222 21 2154 54 150 Орепіпа АЗСІЇ тоде ака ... хі 


РІМО Агзепаї ігс.Позіві! Б 


Захоплення пакетів: активний ІЗ бір лінгвістичних даних: активний 
Кількість пакетів: 104 || (Фільтр: немає |Адаптер: Беайек БТІ8139 Еапиіїу Кагі Екнетлеї А Чаріет (Місговой'є Раск / 


Рисунок І - Загальний вигляд системи «ІлпеуоЗпійег» та перехоплення 
мережних пакетів 


Доступні наступні функції: 
- почати захоплення пакетів - починає захоплення мережних пакетів; 
- припинити захоплення пакетів - припиняє захоплення мережних пакетів; 
- почати збір лінгвістичних даних - починає збирати лінгвістичну статистику під час 
захоплення мережних пакетів; 
- припинити збір лінгвістичних даних - зупиняє збір лінгвістичної статистики; 
- робота лінгвістичної статистики синхронно із захопленням пакетів - вказує, що 
збір лінгвістичної статистики буде активізовуватися і зупинятися одночасно із акти- 
візацією та зупинкою захоплення мережних пакетів; 
- конфігурація - змінює конфігурацію програми, пов'язану із словниками та лінг- 
вістичною утилітою. 

Найбільш цікавим у даній роботі є лінгвістичний модуль, який допомагає зби- 
рати різноманітні статистичні дані. Розглянемо його роботу більш детально. 


Робота з лінгвістичною статистикою 


Лінгвістична статистика відображається на закладці «Лінгвістика» головного вікна 
програми. Ця статистика збирається на основі пакетів даних, що були перехоплені (рис. 1). 
Статистика складається зі статистичних елементів. Кожний статистичний 
елемент зберігає такі дані: 
- Зоигсе ІР - ГІР адреса джерела; 
- 5опгсе Рогі - порт джерела; 
- резіпайоп ІР - ІР призначення; 
- резіпайоп Рогі - порт призначення; 
-- Лічильник - лічильник входження слів; 
- Порогове значення - максимально допустиме значення лічильника; 
- Стан - вказує на те, чи заблоковане правило; 
- Група слів - слова, які шукаються у переданих даних. 
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ЗД 


І іпосуо 5пійег - ТОЇ х| 
Файп Вигляд ТСР Лінгвістика Робота Фільтр Допомога 
ТСРдані Лінгвістика | 
|8ошоеіР | 5ошсеРой | ОвзіїпайопіР | Оезілаїоп Рогі | Лічильник | Порогове значення | Стан ||| | 
патанаь ня о 7 Додати 
10.45 57.50 0.222 45 Розблоковано 


1045. 5657 50 50 


10450222 0 80 0 0 


Блоковано 
Розблоковано 


Редагувати | 
Видалити | 
Видалити всі | 


Обнулити лічильник | 


Розблокувати 


Обнулити всі лічильники | 
Заблокувати всі | 


Розблокувати всі | 
| 


Захоплення пакетів: неактивний із Бір лінгвістичних даних: неактивний 
"Кількість пакетів: 927 | (Фільтр: "Приклад фільтру" - нег Адаптер:- ІР:- 


Рисунок 2 - Робота з лінгвістичною статистикою «ІлпеуоЗпіНег» 


Всі дані, крім слів, відображаються в рядках, а слова - в нижньому полі для виді- 
леного елемента. Для збереження статистичних даних потрібно викликати меню «Лінг- 
вістика»-г«Зберегти у файл». У діалоговому вікні вказати ім'я файла. Для завантаження 
статистичних даних з файла потрібно викликати меню «Лінгвістика»- «Завантажити з 
файла». У діалоговому вікні вказати ім'я файла. Лічильник збільшується, якщо пакет за 
вказаними критеріями (50игсе ІР, 5оигсе Рогі, Дрезіпацоп ІР, Резійпаноп Рог) містить дані, 
у яких зустрічаються слова зі списку. Автоматичне блокування в мережі відбувається 
після досягнення лічильником порогових значень. Якщо порогове значення рівне 0, то 
автоматичне блокування не відбувається. Блокування відбувається за значеннями З0игсе 
ІР, 5Зошсе Рог, Резіпайоп ІР, Резіїпаноп Рогі, але вже не враховує дані. Додавання 
статистичного елемента можливе за допомогою кнопки «Додати», що розташована право- 
руч. Редагування виділеного статистичного елемента можливе за допомогою кнопки 
«Редагувати», що розташована праворуч. Видалення виділеного статистичного елемента 
можливе за допомогою кнопки «Видалити», що розташована праворуч. Для статистич- 
ного елемента можна обнулити його лічильник, якщо з деякого моменту часу потрібно не 
враховувати попереднє значення лічильника. Для цього призначена кнопка «Обнулити 
лічильник». За допомогою кнопки «Заблокувати» можливе ручне блокування елемента. 
За допомогою кнопки «Розблокувати» можливе ручне розблокування елемента. Кнопка 
«Обнулити всі лічильники» обнуляє лічильники у всіх елементах. Кнопка «Заблокувати 
всі» дозволяє вручну заблокувати всі елементи. Кнопка «Розблокувати всі» дозволяє 
вручну розблокувати всі елементи. 

Форма (рис. 3) містить 5 полів для редагування: 

- Зоигсе ІР - ІР адреса джерела; 

- 5опгсе Рогі - порт джерела; 

- резіпайоп ІР - ІР призначення; 

- резіпайоп Рогі - порт призначення; 

- Порогове значення - максимально допустиме значення лічильника, це ціле не- 
від'ємне число. 
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Лінгвістична статистика «ТОЇ х| 


Боцгсе ІР: П 0.45.57.50 Боцгсе Рогі: го 
Оезіїпабоп ІР: П 0.45.70.222 Оезіїпабоп Рогі: 


Порогове значення кількості входжень: П 00 


Слова для пошуку: 


Юооібаї 

теїит 

дгоцид 

іасків 

паї 

согрівіе 

кіск 

дгор-Кіск 

іоівгайом лі 


піасе-Кісі 


Видалити | Додати | Додати групу близьких слів | 
Прийняти | Скасувати | 


Рисунок 3 - Форма «Лінгвістична статистика» 


Також на формі можна редагувати список слів для пошуку. Редагування власне слів 


можна робити, клацнувши мишею на слові. Для видалення виділених слів призначена 
кнопка «Видалити». Для додавання одного слова потрібно використовувати кнопку 
«Додати». Список слів не може бути порожнім. Користувач повинен прийняти зміни 


або скасувати. 
Важливим модулем програми є генерування близьких слів на основі базового слова 


з використанням бази М/огаМеї. А також генерування парадигми слова. Це дозволить 
відстежувати синоніми, слова, близькі за тематикою, та визначати всі можливі форми 


слова. 
Для додавання групи слів потрібно натиснути на кнопку «Додати групу близьких 
слів». 


Група слів - ОЇ х| 


Слово для пошуку: 


Юооібаїї | Пошук | 
Мова: Ганглійська "Ї Поновити словник | 


уч 


Близькі слова 


геїшт 
агоцпд 
іасКів 

паї 
сотріеів 
кіск 
Фгор-Кіск 
ідівганом 
ріасе-кіск 


ПАРАЗ 


Прийняти | Скасувати | 


Рисунок 4- Форма «Група слів» 


На формі групи слів (рис. 4) ввести початкове слово для пошуку, обрати мову 


та натиснути кнопку «Пошук». 
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Аналіз інформації у комп'ютерній мережі за допомогою системи «ІіпеуоУпі/ег» 3 Д 


Доступні мови для обробки: 
- англійська; 
- російська; 
- українська. 
Користувач може прийняти список слів чи скасувати. 


Висновок 


Було проведено дослідження існуючих систем аналізу та захисту мережного тра- 
фіка, виявлено їх переваги та недоліки, внаслідок чого визначено вимоги до надійної та 
зручної системи. 

Результатом роботи є реалізація системи перехоплення пакетів напряму з мереж- 
ного середовища та їх подальшого аналізу. Система робить вторинний аналіз на основі 
лінгвістичної інформації, що була перехоплена. Є можливість автоматичного та ручного 
блокування недозволеного трафіка. Програма має гнучке налаштування для забезпечення 
різноманітних вимог системних адміністраторів та користувачів мереж. 

Представлена програмна реалізація системи «І ЛпеуоЗпійег» може служити ба- 
зовою для побудови спеціалізованих засобів інших класів, наприклад: 

- мережних та протокольних аналізаторів; 

- програм моніторингу мережі; 

- засобів збору мережного трафіка; 

- систем виявлення обміну недозволеної інформації. 
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А.В. Деревянченко 

Анализ информации в компьютерной сети с помощью системь «І АпбуоЗпійег» 

В статье рассматриваются принципьт построения системьт анализа информации в компьютерной сети 
с применением лингвистического модуля, которая может решать актуальньк"е вопрось контроля сети 
как средства передачи и обмена данньми между пользователями и доступа к определенной 
информации. 


Стаття надійшла до редакції 21.07.2008. 
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